Oppdatering personvern, GDPR og teknologirett mv. 09.2024

Her kommer en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.

Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn (trykk «+Abonnér» øverst) eller på mine nettsider.

Send også gjerne nyhetsbrevet med andre du tror kan ha nytte av det eller tips dem om nyhetsbrevet – det kan det være at de setter pris på.

Følg meg på LinkedIn for løpende oppdateringer: https://www.linkedin.com/in/sandtro/, men oppdateringene samles også stort sett i nyhetsbrevet for å sikre at abonnentene får med seg alt.

Bot på 290 millioner EUR for overføring av data til USA

Uber har fått en bot på 290 millioner EUR (kr 3,4 mrd) for å ha overført data til USA uten gyldig overføringsgrunnlag etter GDPR.

Heftige etterdønninger fra Schrems II-dommen, som de fleste skulle tro var over nå etter EU-US Data Privacy Framework (DPF) var på plass. Men neida, Schrems fortsetter å levere!

Det er det nederlandske datatilsynet som har ilagt Uber boten, etter klage fra franske Uber-sjåfører (saken behandles i Nederland siden Uber har sitt europeiske hovedkontor der). Klagen fra de franske sjåførene kom i 2020, dvs. før DPF var på plass, så saken har tatt lang tid å behandle.

Saken gjelder overføring av personopplysninger, til tider ganske sensitive også (uten at det spiller så stor rolle for selve overføringsgrunnlaget, men kanskje for boten) i årene 2021-2023 mellom Uber i Europa og Uber i USA – altså konserninterne overføringer. Begge selskapene er felles behandlingsansvarlige, men etter oppdateringen av standard kontraktsbestemmelser (SCC) fra EU-kommisjonen, manglet det grunnlag for overføring til virksomhet som allerede er underlagt GDPR. (jeg har omtalt problemstillingen her).

Uber baserte seg derfor på bestemmelsen om at overføring kan skje unntaksvis i GDPR artikkel 49 (et ikke spesielt anbefalelsesverdig grunnlag…) frem til nye SCCer forelå.

Saken er en blanding av uklarheter under GDPR, Schrems II-dommen, huller og overganger mellom de ulike SCCene fra EU-kommisjonen, merkelige handlinger fra Uber som behandlingsansvarlig (som å kutte ut overføring under SCC) og nederlandsk prosessrett. En skikkelig suppe altså…

Det er derfor forståelig at Uber har påklaget boten, og om ikke klagen fører frem vil de nok ta den inn for domstolene. Her er det nok juridiske uklarheter til at det er rom for å få redusert boten eller at den bortfaller.

Lessons learned: Selv om det er overføring innad i konsern, må det sikres et lovlig overføringsgrunnlag til land utenfor EØS (såkalte tredjeland), som USA. Å ikke ha dette på plass kan vise seg å kunne bli dyrt. Dette selv om det er lenge siden Schrems II-dommen (denne er aktuell på mange områder ennå…).

Se også pressemelding fra det nederlandske datatilsynet.

Se for øvrig det danske datatilsynets oppdaterte veileder på overføring av personopplysninger til tredjeland.

Lang ventetid for saksbehandling hos Datatilsynet

Datatilsynet har meget stor arbeidsmengde og derfor lang ventetid i saksbehandlingen. Sender man henvendelse til Datatilsynet vil ofte tilbakemeldingen være:

«Datatilsynet har for tiden stor arbeidsmengde, og vi vil dessverre ikke rekke å behandle henvendelsen din innen én måned. Den gjennomsnittlige saksbehandlingstiden vår ligger akkurat nå på ca. ett år. Merk at det kan være store variasjoner i saksbehandlingstid, så noen saker kan ta lengre tid å behandle

Den lange saksbehandlingen skyldes mange varsler om personvernbrudd (se nedenfor om økningen i antall avviksmeldinger) og utfordringer ved at ny teknologi utfordrer personvernet. Dette reduserer Datatilsynets kapasitet til å drive bl.a. veiledning og tilsyn (kontroller). Samtidig gikk antall årsverk i Datatilsynet ned fra 64 i 2022 til 61 i 2023.

Direktoratet for forvaltning og økonomistyring (DFØ), som har evaluert Datatilsynet, anbefaler derfor å øke bemanningen til Datatilsynet samt å bedre arbeidsprosessene, etablere støttesystemer og jobbe mer effektivt. DFØ mener også at tilsynet er preget av en forsiktighetskultur og at Datatilsynet kan utfordres på å ta raskere avgjørelser og tydeligere råd. Datatilsynets direktør, Line Coll, mener også at tilsynet bør våge å ta avgjørelser før «hver stein er snudd», samt å gi bedre råd til de som søker veiledning hos Datatilsynet (gjennom «Prosjekt Kvist», som er et veldig bra navn på dette prosjektet).

Les mer i rapporten fra DFØ, på Datatilsynets nettsider, artikkel i digi.no og på kode.24.

Melding til Datatilsynet om personvernbrudd

Antall avviksmeldinger (varsler) til Datatilsynet økte med 25 % fra 2022 til 2023, og i perioden fra 2017 til 2023 var økningen hele 790 %. Det ble sendt inn 372 avviksmeldinger i januar 2024 som er mer enn det totale antallet avviksmeldinger i 2017.

At det sendes inn mange meldinger gjør at rundt 80 % av avviksmeldingene Datatilsynet mottar avsluttes med en gang (uten at det er sikkert at det skyldes ressurssituasjonen som omtalt ovenfor). Allikevel oppfordrer Datatilsynet til at det sendes inn meldinger selv om man er i tvil om det er nødvendig. Sender man ikke inn melding når det er påkrevet, er dette et brudd på personvernregelverket i seg selv, som kan føre til bot (selv om dette skjer sjelden) eller andre reaksjoner fra tilsynet.

Det er store virksomhetene og det offentlige som sender flest varsler. Dette kan skyldes at omfattende behandling kan gi flere avvik, og enkelte virksomheter har bedre  innarbeidet kultur for å varsle. Men det kan også skyldes at det behandles mer sensitive opplysninger i disse virksomhetene, som senker listen for varsel, og samt at det kan være teknisk gjeld som forårsaker bruddene.

Dette er fordelingen på virksomhet:

Dette er de vanligste typene for avvik:

En god regel kan være at alle avvik skal meldes internt, så skal det vurderes hva som skal meldes videre til Datatilsynet og eventuelt til de registrerte. Men å ha en lav terskel for melding av avvik internt er god hygiene i virksomheten, og kan gi god læring.

Se artikkel i digi.no. Her er også en artikkel om når og hvordan varsling skal skje, samt rutiner for varsling. Datatilsynet har også laget en veileder knyttet til digitale angrep som omfatter råd om varsling, se nedenfor. Det danske datatilsynet har også oppdatert sin veileder om håndtering av personvernbrudd som også gir gode eksempler på når varsling skal skje.

Datatilsynets virksomhet i 2023 og tilsyn i 2024

Til tross for manglende kapasitet og lange ventelister som nevnt over, varsler Datatilsynet at det skal gjennomføres tilsyn både på privat og offentlig sektor i 2024. I 2023 ble det gjennomført 119 egeninitierte tilsyn av Datatilsynet. Det ble også ilagt kun seks overtredelsesgebyr i 2023, selv om det kanskje virker som flere. Om avvik meldt til Datatilsynet i 2023, se over.

Sentrale tema for tilsynene fra Datatilsynet er for eksempel virksomhetenes internkontrollsystem og styringssystem for personvern og informasjonssikkerhet. Det sees i mange tilfelle på hvilke tekniske og organisatoriske tiltak som er innført for å sikre etterlevelse av kravene til personvern og personopplysningssikkerhet. Rutiner og dokumentasjon er altså avgjørende å ha på plass (se oversikt over hvilke prosedyrer og rutiner som kan være aktuelle her).

Det er også en målsetning for Datatilsynet at det skal kunne læres av tilsynene som gjennomføres, og tilsynsrapportene skal lages ut fra hvilke læringseffekt tilsynet ønsker å oppnå for andre enn de som blir kontrollert i det enkelte tilfelle. Datatilsynet vil publisere løpende informasjon på nettsidene om sentrale tilsyn som gjennomføres. Dette er nyttig for mange, og resultatene av dette vil kunne dukke opp i nyhetsbrevet her senere.

Les mer om tilsynsvirksomhet i 2024 her, og Datatilsynets årsrapport her.  

Siste fra Personvernnemda

Det har også vært en økning av saker for Personvernnemda, som for Datatilsynet, og ifølge nemdas årsrapport var det 31 saker i 2023, som er en økning på nær 48 % fra 2022. 24 saker ble avgjort, hvor Datatilsynet fikk medhold i 18 (75 %) og tilsynets vedtak ble endret i 6 saker (25 %). Saksbehandlingstiden er i snitt 5,5 måneder, som er en økning på 1,5 måneder fra 2022.

Mange av de siste sakene for Personvernnemda går på at Datatilsynet avviser sakene, hvilket kanskje har noe med Datatilsynets ressurssituasjon, se ovenfor, samt saker om arbeidsgivers innsyn i epost (som det historisk er mange av). Men mange saker blir også avvist fordi klager ikke har satt seg tilstrekkelig inn i reglene for hvordan man skal klage til Personvernnemda, som reglene etter forvaltningsloven, se nedenfor, så man bør være klar over reglene før det sendes inn klage eller søke bistand fra ekspertise.

Av de sakene som er behandlet i det siste, har det vært en sak av prinsipiell interesse hvor en person fikk avvist sin sak siden vedkommende hadde ikke gjort tilstrekkelige undersøkelser, redegjort for saken og lagt fram dokumentasjon for det forholdet som påklages om (som kreves etter GDPR artikkel 57 (1) f). Klagen ble derfor avvist. Man må altså ha tilstrekkelig beskrivelse og dokumentasjon i klager for Datatilsynet, ellers kan Datatilsynet avvise saken.

I en annen sak avgjorde Personvernnemda at en person kan ikke klage over hvilken reaksjon Datatilsynet kommer til. I saken hadde Datatilsynet gitt en irettesettelse, men ikke overtredelsesgebyr. Dette er et vedtak som ikke kan påklages etter forvaltningsloven.

Som mange sikkert har fått med seg, så avgjorde Personvernnemda at Datatilsynet ikke kunne ilegge Facebook/Meta tvangsmulkt i form av dagbøter siden det følger av personopplysningsloven at Datatilsynet kun kan gis tvangsmulkt etter loven, og ikke etter GDPR. Dette fordi dagbøter er en spesiell sanksjon under norsk rett, og gir ikke hjemmelsgrunnlag for ileggelse i saker som er grenseoverskridende, dvs. gjelder i flere land. Se mer fra Datatilsynet her. Dette har ført til at det sees på om personopplysningsloven nå skal endres. Innspill til etterkontroll av personopplysningsloven kan gis her frem til 1. oktober.

Håndtering av personvernet ved digitale angrep

Datatilsynet har laget en veileder for hvordan forholde seg ved ulike digitale angrep. Veiledningen beskriver noen vanlige hendelsestyper, og ser spesielt på hvordan personvernet kan håndteres når virksomheten er utsatt for angrep. Selv om det ikke bør være noe kritikkverdig i at man utsettes for angrep, er det krav til hvordan man skal håndtere angrepet, bl.a. ved å redusere konsekvenser, varsle til Datatilsynet og eventuelt til de personopplysningene gjelder (de registrerte) og forhindre at tilsvarende hendelser skjer igjen. Veilederen fokuserer derfor primært på hvordan hendelsen skal håndteres, når den først er oppstått.

Veilederen dekker tjenestenektangrep (DDoS), direktørsvindel, phishing, e-postangrep, og utpressingsangrep, hvorav de to første vil normalt ha mindre konsekvenser for personvernet, mens de tre siste kan ha store konsekvenser. Veilederen gir eksempler på når varsling skal skje til Datatilsynet/registrerte, samt når det ikke skal skje varsel. Spesielt av betydning er at Datatilsynet bør varsles (foreløpig) når det er uklart om det er personopplysninger på avveie. Så kan eventuell senere varsel korrigere, f.eks. om det viser seg at det ikke er indikasjoner på at opplysninger er på avveie.

Gode råd fra Datatilsynet (med noen justeringer fra meg) i tilfelle digitalt angrep er:

  1. Iverksett tiltak for å stoppe bruddet og redusere konsekvensene
  2. Involver de rette personene, som personvernombud, og personer med teknisk kompetanse og juridisk ekspertise for å vurdere eventuell varsling korrekt, tidlig i prosessen
  3. Kartlegg hvilke personopplysninger og registrerte som kan være berørt (her er behandlingsprotokollen nyttig), vurder risikoen for personvernet til de registrerte, og varsle eventuelt disse
  4. Meld fra til Datatilsynet hvis aktuelt og nødvendig.

Og mens vi er i gang, kan det minnes om EUs personvernråds oversikt over eksempler på sikkerhetsbrudd og varsling basert på erfaringer fra datatilsyn rundt i EØS. Omfattende materiale for de som orker.

Hvordan håndtere personopplysninger ved medarbeiders død

Datatilsynet har laget en ny veileder om håndtering av personopplysninger ved medarbeiders død som er nyttig og praktisk i slike situasjoner. Det spesielle i slike tilfeller er at døde personer ikke har rettigheter etter GDPR. Men etterlatte og andre ansatte har rettigheter, så slike situasjoner må håndteres på riktig måte etter regelverket.

Et praktisk råd Datatilsynet gir er å avklare med medarbeidere om hvordan deres opplysninger, spesielt i epost og på private områder på it-systemer, skal håndteres i tilfelle død. Og da også knyttet til etterlattes innsyn.

EUs datatilsyn og Microsoft 365

Som mange har fått med seg, så mener EUs datatilsyn (EDPS) at EU-kommisjonen har brutt flere av EUDPR (som er GDPR, bare for EU-institusjoner) i forbindelse med at EU-kommisjonen har benyttet seg av Microsoft 365. Bruddet går her på bruk av amerikanske skyleverandører, som involverer reell eller potensiell overføring av personopplysninger til land utenfor EØS (tredjeland) som USA.

EU-kommisjonen brakte imidlertid vedtaket inn for EU-domstolen (som egentlig er «artig» at ulike EU-institusjoner saksøker hverandre i EU-domstolen – hold det innenfor familien som det heter. Microsoft reiste også sak for EU-domstolen rett etter. Saken viser imidlertid hvor viktig EU-institusjonene mener dette regelverket er, og samtidig hvor uenige så sentrale institusjoner kan være i tolkning av det samme regelverket. Da er det ikke lett for oss andre.

EUDPR gjelder ikke for andre enn EU-institusjoner, men saken er allikevel interessant for andre som benytter seg av amerikanske tjeneste- og skyleverandører, siden reglene i EURDP på dette området er stort sett de samme som under GDPR. Saken for EU-domstolen vil være den første hvor domstolen vurderer hvordan man praktisk skal anvende situasjonen som følger av Schrems II-dommen.

En viktig del av saken er hvor detaljert hvilke personopplysninger som behandles skal angis bl.a. i databehandleravtale. EDPS (og EUs personvernråd, EDPB) mener at alle opplysninger skal spesifiseres, mens Microsoft og EU-kommisjonen har lagt seg på å være mer generell, som f.eks. «særlige kategorier i henhold til artikkel 9» siden de mener det er ikke et krav til slik spesifisering i regelverket. Dette er spørsmål som kan få betydning for hvordan personopplysninger spesifiseres også i databehandleravtaler.

EDPS mener også at siden personopplysningene ikke er tilstrekkelig spesifisert, så kan det bety at Microsoft er behandlingsansvarlig, og ikke databehandler, for en del av behandlingen siden EDPS overlater til Microsoft å bestemme hvordan deler av behandlingen skal skje (som er vanlig i outsourcing av tjenester eller bruk av skytjenester). Dette igjen får betydning for hvem som bestemmer sikkerhetstiltakene for behandlingen, og om behandlingsansvarlig (kunden) kan instruere databehandleren, eller om databehandleren skal bestemme tiltakene. Hva hvis alle kunder av Microsoft skal kunne instruere hvordan Microsoft leverer sine tjenester og implementerer sikkerhetstiltak, spør Microsoft retorisk i saken.

Det er ikke klart når det vil foreligge dom. Det blir da interessant hvilke konsekvenser den får, som om den blir som Schrems II-dommen ved at alle holder pusten en periode og gjør lite reelt, eller om den vil få praktiske følger.

Bruk av Microsofts skytjenester i Frankrike

Også i Frankrike er bruken av skytjenester fra Microsoft tema (igjen). Øverste instans i den franske forvaltningsdomstolen har besluttet at det kunne etableres en database med helseopplysninger i Microsofts skytjeneste. Overføringen er godkjent av det franske datatilsynet (CNIL).

Domstolen mente at det ikke forelå noen stor fare for at amerikanske myndigheter kunne aksessere opplysningene, selv om disse var under kontroll av Microsoft og risikoen kunne ikke helt utelukkes. Det forelå heller ingen alternativer til behandling som ga tilsvarende teknisk løsning uten at det forelå overføringsrisiko.

Det var derfor ingen sannsynlig risiko for skade på personvernet for de som personopplysningene gjaldt, og hensynet til lagringen – helseformål – måtte veie tyngre. Det skal presiseres at det må i alle tilfelle en konkret vurdering om risikoen for tilgang fra myndighetene, og i denne saken var opplysningene pseudonymisert og det var ikke sannsynliggjort at myndighetene kunne kreve utlevert opplysninger etter Stored Communications Act (som endret av CLOUD Act) selv om slik tilgang er hypotetisk og kan ikke utelukkes.

Ny bok: Personvern og GDPR i praksis

Parhestene Eva Jarbekk og Simen Sommerfeldt har oppdatert sin bok om GDPR og personvern. Det har skjedd mye innenfor personvernområdet, spesielt innen praktisk anvendelse av reglene, siden 1. utgave kom i 2019. Så dette er en nødvendig oppdateringen.

Det er gjort noe restrukturering av innholdet og oppdatering på områder som er blitt ytterligere aktuelle siden 2019 i boken, som om kunstig intelligens, maskinlæring og stordata, samt et kapittel om skytjenester og databehandlere i tredjeland (dvs. utenfor EØS-området).

Enkelte kapitler fra tidligere utgave er også utvidet med underkapitler som er blitt aktuelle de siste årene, som en gjennomgang av retargeting i sosiale media og  manipulativt design. Det er også gjort noen oppdateringer i terminologien, som at personvernkonsekvensvurdering (PVK) benyttes i stedet for det engelske DPIA. Og enkelte av kapitlene som er knyttet til tekniske forhold er – naturlig nok – oppdatert mot den siste tekniske utviklingen. Dette gjelder spesielt kapitlet om sikkerhetsstyring i virksomheter, som er et området som er i kontinuerlig utvikling.

Vedlegget med erfaringer for personvernombud i enkelte virksomheter er med i denne utgaven også, men er oppdatert med nye erfaringer og noen andre ombud er representert.

Som forrige utgave er boken praktisk, og ikke så «firkantet» som andre fremstillinger, som f.eks. kommentarutgaver til lover. Det gjør den mye mer anvendelig i det daglige arbeidet, så verdt å ha innenfor rekkevidde for de som arbeider daglig med personvern.

Les mer om boken her, og takk til Cappelen Dam for eksemplar.

Grindersaken – et foreløpig mellomstopp

Som kjent for mange så ila Datatilsynet selskapet bak sjekkeappen Grindr et overtredelsesgebyr («bot») på kr 65 millioner i 2022. Gebyret ble gitt siden Datatilsynet mente at Grindr ikke hadde gyldige samtykker til å utlevere personopplysninger, herunder sensitive personopplysninger, til annonsepartnere.

Vedtaket ble klaget inn til Personvernnemnda som i september 2023 opprettholdt Datatilsynets vedtak.

I oktober 2023 stevnet Grindr Staten ved Personvernnemnda for Oslo tingrett med påstand om at nemdas vedtak er ugyldig og, om de ikke ble hørt på dette, at gebyret eventuelt skal settes ned. Retten kom i juni til at gebyret skulle stå, og at det var utlevert personopplysninger til annonsepartnere, bl.a. annonse-ID, IP-adresse, geografisk lokasjon, app-ID og selvrapport alder og kjønn, og at noen av opplysningene måtte anses som særlige kategorier personopplysninger, som at de var knyttet til seksuell orientering.

Utlevering av disse opplysningene hadde ikke lovlig grunnlag, bl.a. fordi samtykket som brukere av Grindr avga oppfylte ikke kravene til samtykke i GDPR. Samtykket var ikke gitt frivillig fordi brukerne ikke fikk et reelt valg siden det var ikke mulig å samtykke spesifikt til deling av personopplysninger med annonsepartnere bl.a. til markedsføringsformål. Uten at det ble gitt et generelt samtykke til all bruk av personopplysninger, kunne ikke appen brukes. Det at brukerne kunne endre innstillingene for deling i telefonens operativsystem eller bruke betalingsversjonen av tjenesten var ikke tilstrekkelig til å anses som reservasjon.

Retten mente også at størrelsen på overtredelsesgebyret var riktig mot bruddet på regelverket. Dette bl.a. fordi Grindr hadde brutt reglene forsettlig (dvs. med «viten og vilje»), det gjaldt særlige kategorier personopplysninger, mange brukere og overtredelse over nesten to år. Også det at annonsepartnere delte opplysningene videre med flere tusen andre annonsepartnere hadde betydning.

Dette er det største gebyret gitt i Norge, og viser at man må være sikker på at grunnlaget for spesielt særlige kategorier personopplysninger holder, og at samtykke er innhentet etter reglene om man bruker det som behandlingsgrunnlag. Dommen er også interessant for hva som skal anses å være personopplysninger og for utmåling av gebyr, selv om retten ikke ville overprøve forvaltningen, ved Datatilsynet, i for stor grad hva gjelder utmålingen.

Dommen er ikke rettskraftig (dvs. endelig), og ankefristen for Grindr er 24. september i år. Les dommen fra Oslo tingrett her.

EDPB med veileder om bruk av EU-US Data Privacy Framework

EU-US Data Privacy Framework (DPF) er som kjent arvtakeren til Privacy Shield, hvor sistnevnte ble erklært som ugyldig i Schrems II-dommen. Nå har EUs personvernråd, EDPB, kommet med en spørsmål og svar liste (FAQ) om DPF for europeiske virksomheter. Denne gjør et forsøk på mer klargjøring av hva som menes med «HR Data” etter DPF uten man kanskje blir noe klokere på dette.

Jeg har også laget en oppskrift om hvordan man kan forholde seg til DPF, men FAQen fra EDPB er mer omfattende.

EU-kommisjonen ønsker for øvrig – nå ett år etter DPF trådte i kraft – tilbakemelding på hvordan det oppfattes at ordninger fungerer. Ordningen skal vurderes regelmessig, og denne offentlige høringen er en del av vurderingen. Se mer her.

Bruk, lagring, omfang mv. av logging

Jeg nevnte i forrige nyhetsbrev artikkelen om logging skrevet av Hanne Pernille Gulbrandsen og Ole Martin Moe,. Denne artikkelen er så interessant at jeg har laget en oppsummering av de praktiske forholdene her:

  • Logging er registrering og lagring av hendelser og aktiviteter i it-systemer, og er nødvendig som informasjonssikkerhetstiltak etter GDPR artikkel 32 (og annen lovgivning kan sette krav til logging).
  • Artikkelen omhandler sporing, dvs. å kunne finne frem til hva en bruker har gjort i systemet, som vil omfatte behandling av personopplysninger.
  • Det rettslige grunnlaget for logging kan dermed være lovmessig plikt, som nevnte artikkel 32 (dette er omfattende behandlet i artikkelen), andre plikter etter GDPR som konfidensialitetsplikten i artikkel 5 (1) f, samt annen lovgivning. Eller så kan det være berettiget interesse av å spore mistenkelig aktivitet, overvåke systemer og identifisere feil, dokumentere forhold mv. Husk å dokumentere berettiget interesse.
  • Logger skal ikke lagres lenger enn formålet for loggene tilsier (ifølge prinsippet om lagringsbegrensning i artikkel 5 (1) e). Perioden må derfor vurderes ut fra, bl.a. formålet med loggingen (se over), sensitiviteten av opplysningene som logges, risikoen for den registrerte hvis loggene blir kompromittert, relevante lovkrav og bransjestandarder, og tekniske og praktiske hensyn, inkludert lagringskapasitet og sletterutiner.
  • En generell praktiske veiledning for lagringstid gis av NSM, som anbefaler minst 1 år oppbevaring og Datatilsynet som viser til nødvendighet etter formålet for logging (se over) og kortere varighet for sensitive opplysninger. Så er det krav innenfor spesielle forhold som for helsesektoren hvor Normen angir minst 3 år oppbevaring, samt andre krav i etter spesiallovgivning for spesielle sektorer. Den tidligere personopplysningsforskriften foreskrev minst 3 måneder, som nok er et tall som henger igjen mange steder.
  • Les hele artikkelen her som har mer detaljer. Om innsyn i logger, se nedenfor.

Innsyn i logger

I en forbindelse med ovennevnte om logging, er det også avsagt en dom fra EU-domstolen (C-579/21, som riktignok er avsagt i juni 2023, men er ikke omtalt tidligere her). Det har vært praksis, også fra enkelte datatilsyn i EØS, at logger ikke er omfattet av innsynsretten etter GDPR artikkel 15 siden logger er en sikkerhetsforanstaltning med behandling som skjer avledet fra den egentlige behandlingen av personopplysninger.

I dommen fra EU-domstolen fastslås det at innsynsretten skal forstås slik at den registrerte har rett til å få innsyn i hvilke søk som er gjort i opplysninger om vedkommende, herunder dato og formål for søk. Men dette gir ikke rett til å vite hvem som har gjort søkene (ansatte), hvis ikke dette er nødvendig for at den registrerte skal kunne utøve sine rettigheter etter GDPR, forutsatt at rettighetene til de ansatte etter GDPR er ivaretatt.

Dette betyr at logger knyttet til den registrerte skal utleveres, men ikke navn på ansatte eller andre som har gjort søk, om det ikke etter en konkret vurdering er nødvendig for personvernet til den registrerte og – etter den konkrete vurderingen – utleveringen av navnene ikke krenker personvernet til disse personene. Eksempel på utlevering av navn er om det er mistenke om uberettiget oppslag av konkret ansatt. Dvs. formålet med innsynet vil ofte være utslagsgivende.

Erstatning etter GDPR

EU-domstolen kom med to dommer før sommeren om rett til erstatning ikke-materiell skade etter GDPR artikkel 82. Dette er at man får erstatning for brudd på GDPR selv om man ikke har hatt et økonomisk tap eller kostnad, som er også en rettighet man har etter personopplysningsloven § 30.

Dommene viser at man kan få erstatning selv om det ikke er bevist at det har vært misbruk av personopplysninger som følge av bruddet på GDPR. Den ene saken gjaldt at en it-løsning hacket, og den andre gjaldt feilsending av skattemelding med sensitive personopplysninger til feil adresse. Begge sakene gjaldt altså personopplysninger på avveie, men uten at det kunne bekreftes at uvedkommende hadde fått tilgang til/lest opplysningene.

I den første saken følger det at det ikke er noe krav om at det har skjedd misbruk av personopplysninger for at det skal gis erstatning, som ved identitetstyveri. Dommen har interessante betraktninger om hva et «identitetstyveri» skal anses å være.

Tilsvarende gjaldt i den andre saken hvor det at frykten for at personopplysninger vil kunne misbrukes kan være en ikke-materiell skade som man kan få erstatning for. Men frykten må være velbegrunnet.

Domstolen mente at artikkel 82 er kompenserende, og ikke straffende, dvs. man blir kompensert for det man er utsatt for, og ikke for å straffe behandlingsansvarlig/databehandler for bruddet på GDPR (i motsetning til artikkel 83 og 84). Derfor har ikke intensjonen eller skyld fra den som begår bruddet noen betydning for erstatningen. Videre skal ikke en ikke-materiell skade behandles annerledes enn materiell skade hva gjelder omfanget av erstatning, som kan ha betydning for erstatningsnivået i senere saker, men nasjonale domstoler kan allikevel redusere erstatningen.

Oppdaterte Statens standardavtaler (SSA)

DFØ har kommet med oppdaterte versjoner av SSA, som er den største oppdateringen siden 2018. Endringene skal gjøre avtalene mer brukervennlige, oversiktlige og i tråd med gjeldende regelverk. Endringene omfatter:

  • SSA-B og SSA B enkel – Bistandsavtalen
  • SSA-O – Oppdragsavtalen
  • SSA-K – Kjøpsavtalen
  • SSA-T – Utviklings- og tilpasningsavtalen
  • SSA-V – Vedlikeholdsavtalen
  • SSA-D – Driftsavtalen

Det skal ikke være gjøre større materielle endringer, unntatt hvor det er nødvendig for å oppdatere mot gjeldende regelverk. Så endringene omfatter bl.a. nye forsider, ny kapittelstruktur, nye bilag, harmonisering av bestemmelser som skal ha samme innhold, språkvask og feilrettinger og ny bestemmelse om lønns- og arbeidsvilkår.

De nye (og gamle) avtalene finnes her: https://anskaffelser.no/avtaler-og-regelverk/statens-standardavtaler-ssa.

Se også

Klasselister. Aktuelt nå: Kan klasselister deles? (Spoiler: Ja, med noen men…). Datatilsynet har oppdater sitt innlegg om dette.

Veiledere fra Datatilsynet. Oppdaterte veiledere fra Datatilsynet om:
Overvåking av ansattes bruk av elektronisk utstyr
Rett til sletting
Rett til å protestere

Veileder om retten til å protestere. KS har laget en veileder for retten til å protestere. Retten til å protestere er en rettighet i GDPR som mange opplever som vanskelig, og veilederen viser hvordan denne rettigheten kan håndteres på en bedre måte. Veilederen er laget for skoler/kommuner, men kan også være av nytte for andre.

Bot for bruk av Meta Pixel i Sverige. Det svenske datatilsynet, IMY, har ilagt to online-apotek henholdsvis SEK 37 mill. og SEK 8 mill. for å bruke Meta-pixel på sine nettsider og overført sensitive opplysninger til Meta. Dette er nok en oppfølging av Sveriges Radios tidligere saker. I Norge har vi hatt tilsvarende saker i NRK, og Datatilsynet har varslet granskning av sakene og har oppfordret virksomheter til å gå gjennom sine nettsider for å undersøke etter sporingsteknologier og laget en veileder. Jeg har skrevet om dette tidligere, med en oppskrift på hvordan gå frem.

Tilleggskrav for personvernsertifisering. Datatilsynets tilleggskrav for virksomheter som ønsker å tilby personvernsertifisering er nå klare. Virksomhetene må akkrediteres av Norsk akkreditering, og kravene i både EN-ISO/IEC 17065/2012 og Datatilsynets tilleggskrav må oppfylles for å bli akkreditert.

Hvem får ansvaret for å håndheve KI-lovgivningen? Diskusjonen om hvem som skal få ansvaret for å håndheve AI/KI-lovgivningen er i gang. DFØ mener at Nkom skal ha dette ansvaret, mens andre (som bl.a. EUs personvernråd) mener Datatilsynet. Sistnevntes rolle som veileder, som har vært et tema lenge (se bl.a. DFØs rapport  om evaluering av Datatilsynet «Både vaktbikkje og førerhund?» som i denne sammenheng har en illustrerende tittel), kan være noe av grunnen til at ansvaret for AI/KI ikke bør legges hos Datatilsynet. Her er et innlegg for at Nkom skal ha ansvaret, som også gir god bakgrunn for problemstillingen.

Bruk av ansiktsgjenkjenning til adgangskontroll. Det danske datatilsynet mener at det er anledning til bruk av ansiktsgjenkjenning som adgangskontroll til treningssenter, også dersom dette omfatter særlige kategorier personopplysninger (som da biometri ved ansiktsgjenkjenning er) dersom det innhentes et korrekt samtykke som sikrer at samtykket er tilstrekkelig informert. Men samtidig vil ikke et samtykke være frivillig om det ikke finnes alternativer til bruk av biometri.

Datatilsynets personvernundersøkelse. Datatilsynet har gjennomført ny personvernundersøkelse, og ifølge denne er mange opptatt av personvern (83 %) og kjenner sine rettigheter etter regelverket. Men unge er mindre opptatt av personvern (33 % er lite opptatt av personvern). Fødselsnummer er en opplysning mange er opptatt av å verne spesielt (94 %), mens religion og politisk tilhørighet er ikke så mange opptatt av vernes. Det er stor tillit til hvordan det offentlige forvalter personopplysninger, men bare 29 % mener at de selv har kontroll på hvordan personopplysninger om dem brukes på internett (spesielt av private aktører). Det er også skepsis mot sosiale medier og utnyttelse av personopplysninger på internett, og de fleste er negative til persontilpasset reklame (67 %) – de eldre mer enn de yngre. Det er skepsis til ny teknologi som bruker personopplysninger (som AI/KI), bruk av apper, kjøp i nettbutikker, delta i kommentarfelt mv.

Bot for deling av skjult fane på regneark. Det britiske datatilsynet (ICO) har gitt en bot på ca. kr 10,5 millioner til Police Service of Northern Ireland (PSNI) for å ha delt et regneark til samtlige ansatte som inneholdt bl.a. sensitive opplysninger om, ja nettopp, samtlige ansatte. Utfordringen i saken var at opplysningene var inntatt i en fane som var skjult i regnearket. Det er nok mange som har opplevd at det er skjulte faner som man ikke er klar over, og dette kan være en påminnelse å sjekke om det før man deler regneark.

Dagens sitat

I en sak hvor en ansatt hos en bilutleier i UK gjennomgikk personopplysninger om kunder uten å ha grunn til det, uttalte den ansvarlige hos det britiske datatilsynet følgende:

Grei regel å ta med seg videre.


Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.

Det er stengt for kommentarer.

Nyhetsbrev